El año pasado, los investigadores de seguridad de Microsoft descubrieron cinco vulnerabilidades críticas de software en un producto de la compañía, diseñado para proteger las redes de dispositivos de Internet de las cosas y sistemas de control industrial, según un informe proporcionado a Bloomberg News.
Los problemas descubiertos por la firma cibernética SentinelOne, fueron calificados como ‘extremadamente’ graves, y uno habría permitido a los piratas informáticos comprometer la tecnología protegida por Microsoft’s Defender for IoT al explotar una falla en una herramienta de recuperación de contraseñas.
Seis meses después de que SentinelOne informara sobre las fallas encontradas en Defender para IoT de Microsoft, la compañía de Redmond lanzó una solución con poca fanfarria.
Si bien no hay evidencia de que los atacantes aprovecharon la vulnerabilidad para su propio beneficio, se supone que Microsoft Defender agrega una capa de seguridad y no proporciona nuevas vías para que los piratas informáticos exploten los sistemas.
El informe SentinelOne, escrito por Kasif Dekel y Ronen Shustin, explica que el descubrimiento ‘plantea serias dudas sobre la seguridad de los productos de seguridad y su efecto general en la postura de seguridad de los sectores vulnerables’.
El producto Microsoft Defender requiere un acceso profundo a la red de un cliente para realizar su función de seguridad. Ese mismo acceso es una mina de oro potencial que puede descubrir cómo volver el producto de seguridad contra sí mismo, como dijo recientemente Juan Andrés Guerrero-Saade, investigador de SentinelOne, que estudia la piratería informática del estado-nación.
‘Lamentablemente, creo que lo que encontraremos habla de la calidad de los productos de ciberseguridad en general’, dijo. ‘Creo que esto es un poco más preocupante, debido al tipo de productos que protege Defender for IoT’.
La noticia del descubrimiento también coincide con las repetidas advertencias de los funcionarios de seguridad nacional de Estados Unidos y el propio presidente Joe Biden, a las empresas estadounidenses para que actualicen su tecnología y estén atentos a la posible piratería rusa patrocinada por el Estado.
Esa es solo una amenaza: la semana pasada se reveló que probablemente la pandilla de extorsión Lapsus$, que ha comprometido a algunas de las compañías tecnológicas más grandes de Estados Unidos, incluida Microsoft, es una creación de un joven de 16 años que vive con sus padres en el Reino Unido.
Cuando se le preguntó acerca de los problemas que descubrió SentinelOne, un portavoz de Microsoft dijo que la empresa sigue prácticas reconocidas de divulgación de vulnerabilidades y que la empresa trabaja con socios para resolver cualquier problema de sus productos.
Los investigadores de SentinelOne señalaron que el producto Defender contiene código de CyberX, una empresa que Microsoft adquirió en 2020.
A medida que continúan las fusiones y adquisiciones en la industria de la ciberseguridad, existe el riesgo de que los problemas de un producto de seguridad se propaguen a otro. Y a veces, puede llevar años reconciliar el código obsoleto o defectuoso del software adquirido.
Guerrero-Saade instó a los clientes cibernéticos a aprovechar el momento actual para presionar a sus proveedores y garantizar que su tecnología sea lo más robusta posible.
‘No es una tarea envidiable tratar de asegurar una gran base de código’, dijo Guerrero-Saade. ‘Dicho esto, confiamos en que las grandes empresas que han estado haciendo esto durante mucho tiempo lo hagan’.
